Password Personali, Amore ed Odio degli utenti

Nell’ultimo periodo mi è capitato più volte di soffermarmi sull’utilizzo delle password e della loro gestione da parte degli utenti.

In primis, dallo scorso 15 gennaio, ho scoperto che la mia Banca Online IWBank, aveva optato per semplificare le procedure di accesso: infatti, mentre prima per accedere al sito era necessario inserire, oltre ad Username e Password, un PIN generato da una parte fissa stabilita dall’utente ed una parte generata di volta in volta dal Token [lo stesso PIN viene poi utilizzato per confermare le operazioni dispositive], dal 15 gennaio in poi il PIN è composto solo dal codice temporaneo a sei cifre generato dal Token.

Questo evento mi ha fatto abbastanza riflettere:

1. ho cercato di capire quanto questa modifica avrebbe abbassato la soglia di sicurezza del mio account
2. ho cercato di capire la necessità commerciale di una scelta di questo tipo

Se la prima riflessione mi ha fatto giungere alla conclusione che, nella pratica, il livello di sicurezza si è abbassato in maniera estremamente limitata, dall’altra non ho comunque capito la necessità di effettuare una modifica peggiorativa, anche se di poco, dal mio punta di vista assolutamente non necessaria.

Le Password degli utenti

A dare una risposta alla mia seconda riflessione è arrivata la lettura di un interessante report sulle abitudini nell’utilizzo delle password pubblicato da VoceArancio, settimanale online di Conto Arancio.

All’interno dell’articolo sono riportati i risulti di un sondaggio realizzato da RSA Security, dal quale emerge da un lato l’elevato numero di password che un utente medio deve ricordare e dall’altra la leggerezza con cui gli utenti gestiscano le password stesse.

Evidentemente l’utente medio ha difficoltà a gestire correttamente le proprie credenziali. IWBank, probabilmente, ha ritenuto di fare un servizio ai propri clienti (e probabilmente abbassando le chiamate di assistenza) rendendo più “semplice” il processo di autenticazione.

Corretta Gestione della Password

Per quanto fastidioso possa essere, le nostre password personali vanno gestite in maniera oculata:

• la password deve essere complessa. Per password complessa si intende una password di almeno 8 caratteri di lunghezza e composta da almeno 3 tipologie di caratteri diverse (Maiuscole, minuscole, numeri e simboli). Complesso non vuol dire difficile. Ad esempio la parola “password” è una password facilmente violabile, mentre la parola “P4ssW0rd” risponde a criteri di complessità pur essendo altrettanto facile da ricordare.
• la password non deve avere riferimenti personali. All’interno della tua password non inserire il nome di moglie, figli o la tua data di nascita. Cerca sempre quindi di utilizzare password senza riferimenti diretti alla tua famiglia.
• la password è come lo spazzolino. Almeno ogni 3 mesi va cambiata.
• la password va conservata con cura. Scriverla su un Post-It ed attaccare lo stesso sul monitor non è quello che si intende con conservazione sicura. Neanche il primo cassetto della scrivania, sotto la tastiera o il proprio portadofoglio sono dei posti sicuri. Men che mai la password va memorizzata all’interno del proprio computer. C’è poco da fare: le password vanno ricordate a memoria, oppure, come nel caso delle banche online, generate di volta in volta, mediante dispositivi elettronici.
• la password non va mai comunicata. Te lo ripeto: LA PASSWORD NON VA MAI COMUNICATA A NESSUNO ed in nessun modo, nè a voce, nè via mail, nè per telefono o via SMS. Se ricevi mail che richiedono di andare sul sito della tua banca per rinnovare le tue credenziali, stai tranquillo che si tratta di una mail di phishing. Non abboccare.
• le password vanno differenziate. Se hai difficoltà a memorizzare tante password, utilizza una password più blanda e facile da ricordare per gli accessi meno importanti (ad es. l’account Facebook) ed una password più strutturata per gli accessi più importanti (ad es. il tuo Conto Corrente Online).

Siti Utili

Suggerimenti Password: partendo da una password facile da ricordare da te inserita, il sito Password.10Try ti offre sette varianti complesse facili da ricordare.

Verifica Password: il sito PasswordMeter ti consente di verificare la “bontà” della tua password

Crediti Fotografici

Desbloqueado di Freddy the Boy